Hi,

Habe auf meinen PC win98 und winxp als OS laufen.
In den win 98 Systemordner gibt es eine exe Namens sdfjje.

Wenn ich xp am laufen habe kommt manchmal die Meldung:


"16 Bit MSDOS Teilsystem"
sdfjje.exe verursacht . Bla bla bla.

Ist das ein Virus ? Bei Onkel Google konnte ich auch nichts finden.

http://www.google.de/search?q=sdfjje...le-Suche&meta=


:evil2: :evil2: :evil2:


mfg

http://www.kaspersky.com/remoteviruschk.html
las es da mal testen

Hi,

Kaspersky konnte nix feststellen.
Die Datei ist 1kb groß.

Wie lautet die Fehlermeldung denn genau? Steht was dazu in der Ereignisanzeige? Hast du außer dieser Fehlermeldung irgendwelche Probleme?
Prüf den Rechner auch mal mit Spybot Search&Destroy und AdAware.

hyrican

Hi,

Die Meldung lautet:

Anwendungspopup:16-Bit-MS-DOS-Teilsystem: C:\windows\sdfjje.exe
Die NTVDM-CPU hat einen ungültigen befehl endeckt: CS:06a7 IP:01d4 OP: 63 68 65 2f 31 Klicken sie auf schließen um die Anwendung zu beenden.

Spybot habe ich schon laufen lassen,findet nix.
Wie gesagt auf laufwerk c: win 98 und auf d: winxp.

Zitat:

Zitat von hyrican

Steht was dazu in der Ereignisanzeige? Hast du außer dieser Fehlermeldung irgendwelche Probleme?

hyrican

Hi,

In der Ereignissanzeige steht genau das gleiche wie in der Meldung.
Probleme sind mir noch nicht aufgefallen.

Möcht aber mal gerne wissen für was die exe ist.


mfg

Keine Ahnung, hab kein Win98. Benenn die Datei doch einfach mal um in z.B. sdfjjeold.exe und schau was passiert.
Hier hab ich noch nen Link zur Behebung von NTVDM-Fehlern, keine Ahnung ob dir das was nützt: http://support.microsoft.com/default...d=kb;de;196453

hyrican

Hi,

Habe mal meine alte HD eingebaut,IBM DESKSTAR,kackt ab nach ca. 10 Minuten.. auf der ist win98 noch drauf. Da gibt es sdfjje.exe nicht. das einszige was mir auffällt ist ;das I Explorer (ein thema für sich) einen site aufbaut. Und Zwar "http:/foof.ath.cx/nav/

Hast es schonmal mit umbenennen versucht? Laß auch mal AdAware laufen( updaten nicht vergessen). CWShredder kann auch nicht schaden( findet Browserhijacker). Und last but not least gibts auch noch HijackThis um diverse Systembereiche auf verdächtige Einträge zu überprüfen( mit HijackThis nicht wild löschen, der zeigt auch "gute" Einträge an, im Zweifelsfall das Logfile hier posten.

hyrican

moin,

gerade kam die Meldung wieder.
Es hat sich auch eine seite aufgebaut.

://mysite.verizon.net/graden19/index.html


Habe mal hijack laufen lassen.
hier ist das log.:

Logfile of HijackThis v1.98.0
Scan saved at 08:22:33, on 11.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\TELES\skyDSL\tskyclnt.exe
E:\Programme\TELES\skyDSL\tkpclnt.exe
E:\WINDOWS\System32\ixa.exe
E:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
E:\Programme\Real\RealPlayer\RealPlay.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\crsb.exe
E:\WINDOWS\System32\mzold.exe
E:\Programme\Hauppauge\WinTV NOVA\DVBData.exe
E:\Programme\AVKService.exe
E:\Programme\AVKWCtl.exe
E:\Programme\NMapWin\bin\nmapserv.exe
E:\Programme\TELES\skyDSL\Proxy\craxy.exe
E:\Programme\TELES\skyDSL\tskymtpc.exe
E:\Programme\TELES\skyDSL\tkpsrv.exe
E:\Dokumente und Einstellungen\Marcus\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:8080;https=127.0.0.1:8080;ftp=127.0 .0.1:8080
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\ACROBAT 6\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {44FB4504-B61C-289C-8620-15557FD3294E} - E:\WINDOWS\System32\uey.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [skyDSLClient] E:\Programme\TELES\skyDSL\tskyclnt.exe -q
O4 - HKLM\..\Run: [Koppelpuls Client] E:\Programme\TELES\skyDSL\tkpclnt.exe -skydsl
O4 - HKLM\..\Run: [Microsoft Update Machine] ixa.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "E:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [RealTray] E:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] ixa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] ixa.exe
O4 - HKCU\..\Run: [Odbr] E:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\crsb.exe
O4 - HKCU\..\Run: [Qcr] E:\WINDOWS\System32\mzold.exe
O4 - Startup: DVB Data Control (Budget).lnk = E:\Programme\Hauppauge\WinTV NOVA\DVBData.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: skyDSL++ - {F7522CA2-3DDA-11d3-8560-0060977792B1} - E:\Programme\TELES\skyDSL\sky2sky.exe
O9 - Extra button: skyDSL- - - {F7522CA8-3DDA-11d3-8560-0060977792B1} - E:\Programme\TELES\skyDSL\sky2fon.exe
O10 - Unknown file in Winsock LSP: e:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: e:\windows\system32\skysocks.dll
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92E7942F-E794-4A1F-98B9-83ED7BC6F49D}: NameServer = 217.237.149.225 194.25.2.129

Komisch kommen mir vor:
E:\WINDOWS\System32\ixa.exe
E:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\crsb.exe
E:\WINDOWS\System32\mzold.exe
Leider bin ich nicht sicher was die so treiben und finde auch nix brauchbares in Google dazu. Deshalb gehen wir am besten den komplizierten Weg mit Datensicherung. Leg dir eine Sicherungskopie der Dateien ixa.exe, crsb.exe, mzold.exe und der uey.dll an. Dann hol dir ERUNT( http://home.t-online.de/home/lars.hederer/erunt/ ) und sichere deine Registry. Dann läßt du von HijackThis folgende Einträge fixen:
O2 - BHO: (no name) - {44FB4504-B61C-289C-8620-15557FD3294E} - E:\WINDOWS\System32\uey.dll
O4 - HKLM\..\Run: [Microsoft Update Machine] ixa.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] ixa.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] ixa.exe
O4 - HKCU\..\Run: [Odbr] E:\Dokumente und Einstellungen\Marcus\Anwendungsdaten\crsb.exe
O4 - HKCU\..\Run: [Qcr] E:\WINDOWS\System32\mzold.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
Nach einem Neustart löschst du die ixa.exe, crsb.exe, mzold.exe und die uey.dll manuell( eventuell dazu im abgesicherten Modus booten). Dann beobachtest du dein System. Wenn keine Probleme auftauchen kannst du auch die Sicherungskopien löschen. Falls doch Probleme auftauchen notiere dir die Fehlermeldungen, stell die Dateien wieder her und spiel auch die mit ERUNT gemachte Sicherung der Registry zurück. Dann postest du hier die aufgetretenen Fehlermeldungen.

hyrican